未来杀软的主要发展方向—防御还是查杀？

QQ1620493525

最近和论坛的朋友讨论了这个问题，我还是先说说我的观点。
1.在新病毒呈几何级增长的今天，指着查杀和扫描来防御已经很吃力了。试问有几位朋友天天用杀毒全盘扫描？况且频繁扫描会有降低硬件寿命和损坏系统文件的风险。这也是为什么全球知名杀软厂商都大力发展主动防御的根本原因。即使云入库再快，也会有漏网之鱼！如果这个“漏网之鱼”是一般的盗号木马或病毒可以在随后更新特征码进行扫描处理掉，但我最担心的是如果这个病毒是像熊猫烧香、小浩，中华吸血鬼，09年的犇牛等那些恶性病毒怎么办？在没有特征码入库的情况下，一旦病毒文件运行杀软可能立马被病毒干掉了，更别提更新特征扫描了。所以必须有强大的防御和自保系统的支持！
2.这里我要说的不是特征码不重要，该技术会一直延用下去，因为它查杀率高误报低，但我认为厂商更应大力发展防御！有的朋友可能会说，防御好你也做不到100%能拦截所有病毒，是的，这话没错。但防御好的软件不会被那些恶性破坏性病毒轻易突破，微点等行为主防就是个很好的例子。虽然有朋友说行为防御经常拦不住一些盗号木马和流氓软件，但对于恶性病毒几乎从没失手过。从07年的熊猫烧香，小浩，大红猩猩，09年的犇牛等等“毒王”出现时很多以查杀和扫描为重点的杀软主程序不是被病毒破坏了，就是面对纷繁的变种无可奈何时，这项防御技术逐渐兴起。有的朋友会说，这个看着提示太高深了，看不懂。我想说的是行为主防不是hips，如果你会判定提示的文件路径文件名等常识是不会有问题的，如果您看不懂这个我想说扫描误报出的文件你也一样看不懂！而且提示很简单：提示未知木马、病毒或进程：选项隔离、删除清除等。所以行为主防不存在易用性问题但行为主防的缺点也比较明显，没有云辅助误报较高需要携带大量白名单库。
3.所以我认为未来杀软的发展方向是以防御为主“云”辅助提高静态查杀率和降低误报，减少本地病毒库资源占用。有朋友说现在硬盘那么大动辄TB级，但我想说的是毕竟硬盘在80G的用户还是有一些的，不可能让这些用户的电脑本来就有限的资源空间用来装杀软病毒库。再者，在云联网时能扫描到的威胁都差不多发现了，在断网下用本地病毒库又能扫出来几个呢？刨去误报真正是病毒的几乎没有了。况且病毒或木马会经过反汇编，多重加壳等等技术来躲避特征扫描，恶性病毒更会直接对抗杀软将其关闭。如果是防御只要一条规则即可有效拦截变种，而且行为主防的特点就是病毒行为动作越“剧烈”如注入进程、关闭杀软、断网等等行为，防御的效果越好，这也解释了为什么行为分析无法解决一般盗号木马或流氓软件的弊端，因为这些程序不好加规则，容易误报而不是说防不住！
4.打个比方，为什么现在人都大力提倡养生？为什么都努力提高免疫力？按理说现在医学很发达，除非少数几种恶性疾病治不了外其他的都可治愈。这个道理同样用在这里，如果我们有能力在病毒入侵计算机前或在其执行恶意动作时就进行拦截，不比中毒后用特征码扫描更好更有效吗？况且特征码经历了最早的单一特征码、静态启发、动态启发、通杀记录到现在的人工智能，技术已快到达了极致，但防御却不一样从hips到现的行为分析，它的潜力非常大所以防御将是未来杀软厂商提高的重点。
最后，我要说的是特征码是重要，但在未来当中它更应该扮演的是辅助防御的角色，防御才是未来的主要发展方向。
希望大家踊跃讨论，呵呵。

vm001

楼主我说下我的看法，所谓主防防御也好，所谓云响应也好，都不是万能的，病毒的行为其实现在的也都很简单，有些和正常程序的相似度非常高，这样就会给类似多部行为判断带来不遍，不是漏报就会出现大量误报，比如白加黑，比如一些一次行盗号木马，而单步行为防御是建立在有强大白名单库，有相当高的和相当准确的云鉴定基础上，这就需要云的配合，而就是在这种情况下也是一样会漏掉，还是比如白加黑，如果白文件正中杀软白名单库怎么办？而在这种情况下，杀软就应该要考虑，染毒后对系统异常的修复，哪里该有什么，哪里不该有什么，就比如金山的ksc理念。在返回来说防御，要达到防御好，少扰民，那你就得看下360的防御，什么位置我该拦截，什么位置我可以放过，我的拦截点要设在哪儿拦截效果最好，误报最少。

但是这些已经都是普通网名一般看不到也遇不到的东西，比如你上面说的那些恶性病毒，现在没人去写他，而且相对现在杀软都有主防，你动作越大越过不了，比如微点的防御，再者，写这些病毒是要被判刑的，没事谁去找这蛋疼，又不赚钱，就为显摆下技术的时代已经过去了，现在都是向钱看的，做钓鱼网页多痛快........

得了，就说这么多吧

Ventureminking

老生长谈  没啥意义  感觉每个厂商都有自己的理念 个人喜欢 全面 轻巧 安静

velenpul

最近看卡饭从上到下这一溜帖子，觉得。。。让人看了标题就不想进的帖子占了90%。